Безпека веб-служб (ws security) - визначення з техопедії

Визначення - Що означає безпека веб-служб (WS Security)?

Безпека веб-служб (WS Security) - це специфікація, яка визначає, як заходи безпеки реалізуються у веб-службах для захисту їх від зовнішніх атак. Це набір протоколів, які забезпечують безпеку повідомлень на основі SOAP, реалізуючи принципи конфіденційності, цілісності та автентичності.

Оскільки веб-сервіси не залежать від будь-яких апаратних та програмних реалізацій, протоколи WS-Security повинні бути досить гнучкими для розміщення нових механізмів захисту та надання альтернативних механізмів, якщо підхід не підходить. Оскільки повідомлення на основі SOAP обходять декілька посередників, протоколи безпеки повинні мати можливість ідентифікувати підроблені вузли та запобігати інтерпретації даних у будь-яких вузлах. WS-Security поєднує найкращі підходи до вирішення різних проблем безпеки, дозволяючи розробнику налаштувати конкретне рішення безпеки для частини проблеми. Наприклад, розробник може вибрати цифрові підписи для неповернення та Kerberos для аутентифікації.

Techopedia пояснює безпеку веб-служб (WS Security)

Метою WS-Security є забезпечити, щоб комунікація між двома сторонами не була перервана або інтерпретована сторонніми сторонами. Одержувач повинен бути впевнений, що повідомлення дійсно було надіслано відправником, і відправник повинен бути впевнений, що одержувач не може відмовити в отриманні повідомлення. Нарешті, дані, надіслані під час спілкування, не повинні змінюватися стороннім джерелом. Усі дані, що стосуються безпеки, додаються як частина заголовка SOAP. Тому на формування повідомлень SOAP при активізованих механізмах захисту є значні накладні витрати.

Заголовок SOAP-безпеки WS:

Розробник може вибрати будь-який базовий механізм захисту або набір протоколів для досягнення своєї мети. Захист реалізується за допомогою заголовка, який складається з набору пар ключів-значень, де значення змінюється належним чином із змінами базового механізму захисту, який використовується. Цей механізм допомагає виявити особу абонента. Якщо використовується цифровий підпис, заголовок містить інформацію про те, як було підписано вміст та місцезнаходження ключа, який використовується для підпису повідомлення.

Інформація, що стосується шифрування, також зберігається у заголовку SOAP. Атрибут ID зберігається як частина заголовка SOAP, що спрощує обробку. Мітка часу використовується як додатковий рівень захисту від атак на цілісність повідомлення. Коли повідомлення створюється, часова мітка пов'язана з повідомленням, що вказує, коли воно створене. Додаткові часові позначки використовуються для закінчення терміну повідомлення та для вказівки, коли повідомлення надійшло у пункт призначення.

Механізми аутентифікації WS-безпеки

• Підхід користувача / пароля: Комбінація імені користувача та пароля є одним із основних механізмів аутентифікації, що є аналогом методів аутентифікації на основі HTTP Digest та Basic. Елемент маркера імені користувача використовується для передачі облікових даних користувачів для аутентифікації. Пароль можна транспортувати як звичайний текст, так і у форматі дайджесту. Коли використовується підхід дайджесту, пароль шифрується за допомогою техніки хешування SHA1.
• Підхід X.509: Цей підхід визначає користувача за допомогою інфраструктури відкритого ключа, яка відображає сертифікат X.509 для конкретного користувача. Більше безпеки можна додати за допомогою відкритого ключа та приватного ключа для шифрування та дешифрування сертифіката X.509. Щоб повідомлення не відтворювались, може бути встановлено обмеження часу для відхилення повідомлень, які надходять після певної тривалості.
• Керберос: Поняття квитка формує основний механізм Кербероса. Клієнт повинен пройти автентифікацію в центрі розподілу ключів (KDC), використовуючи комбінацію імені користувача / пароля або сертифікат X.509. Після успішної аутентифікації користувачеві надається квиток, що надає квиток (TGT). За допомогою TGT клієнт намагається отримати доступ до послуги надання квитків (TGS). На цьому кроці перші дві ролі ідентифікації та авторизації закінчені. Потім клієнт запитує сервісний квиток (ST) для придбання певного ресурсу в TGS і йому надається ST. Клієнт використовує ST для доступу до послуги.
• Цифровий підпис: підписи XML використовуються для захисту повідомлення від модифікації та інтерпретації. Підписання повинно бути здійснено надійною стороною або реальним відправником.
• Шифрування: шифрування XML використовується для захисту даних від інтерпретації, роблячи їх нечитабельною для сторонніх сторонніх осіб. Можна використовувати як симетричний, так і асиметричний підходи.

WS-Security дозволяє належним чином використовувати існуючі механізми безпеки для запобігання будь-яких накладних витрат при включенні нових механізмів.